ระบบสุขภาพ (Healthcare) เป้าหมายอันดับ 1 ถูกโจมตีภัยไซเบอร์ เผชิญการคุกคามหลัก 6 ประเภท จากความเสี่ยง 4 เรื่อง มูลค่าความเสียหายต่อครั้ง 300-400 ล้านบาท แต่ละปีมูลค่าเพิ่มขึ้น 20-30% ขณะที่ 3 หน่วยงานร่วมมือเร่งยกระดับทักษะดิจิทัล บุคลากรทางการแพทย์
แพทยสภา สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) และบริษัทซิสโก้ ซีสเต็มส์(ประเทศไทย) จำกัด ประสานความร่วมมือด้านวิชาการ เพื่อร่วมกันสร้างความเข้มแข็งด้านวิชาการเทคโนโลยีดิจิทัลแก่บุคลากรด้านสาธารณสุขของประเทศ ยกระดับทักษะดิจิทัล และองค์ความรู้รับมือภัยคุกคามไซเบอร์ ซึ่งเป็นปัญหาใหญ่ที่หน่วยงานด้านสาธารณสุขกำลังประสบ และต้องช่วยเหลืออย่างเร่งด่วน
ศ.เกียรติคุณ พญ.สมศรี เผ่าสวัสดิ์ นายกแพทยสภา กล่าวว่า จัดหลักสูตรอีกครั้งให้แก่หน่วยงานด้านสาธารณสุข โรงพยาบาลต่างๆ เพื่อให้มีความรู้ในการปกป้องข้อมูลประชาชน ซึ่งจะช่วยสร้างความเชื่อมั่นให้แก่ผู้รับบริการ และจัดโครงการชวนหมอรู้ เพื่อให้บุคลากรทางการแพทย์ได้อัปเดตความรู้ที่ทันสมัย และนำไปปรับใช้ในสังคมได้ โดยเฉพาะความรู้ในการป้องกันภัยทางไซเบอร์
ดร.สุพจน์ เธียรวุฒิ ผู้อำนวยการสำนักงานพัฒนารัฐบาลดิจิทัล กล่าวว่า หนึ่งในกลุ่มบุคลากรภาครัฐที่อยู่ใน Focus area ตามแผนพัฒนารัฐบาลดิจิทัลคือ บุคลากรด้านสาธารณสุข ซึ่งต้องดูแลระบบสารสนเทศต่างๆ มีการเก็บข้อมูลส่วนบุคคล ข้อมูลทางการแพทย์ ความร่วมมือนี้ จะเป็นก้าวสำคัญในการเสริมความแกร่งให้แก่บุคลากรทางการแพทย์ให้มีทักษะด้านดิจิทัล รู้เท่าทันภัยคุกคามความมั่นคงปลอดภัยทางไซเบอร์ สามารถนำความรู้ที่ได้รับไปประยุกต์ใช้วางแผนรับมือความเสี่ยงที่จะเกิดขึ้นแก่ตนเอง/ และองค์กรได้อย่างถูกต้องเหมาะสมต่อไป
ทวีวัฒน์ จันทรเสโน กรรมการผู้จัดการใหญ่ บริษัท ซิสโก้ ซีสเต็มส์(ประเทศไทย) จำกัด กล่าวว่า ระบบดิจิทัลในอนาคตการแบ่งปันข้อมูลต่างๆ ทางการแพทย์ หรือข้อมูลประวัติคนไข้ จะมีการเปิดเผยมากขึ้น การแบ่งปันที่มากขึ้น เพื่อให้เกิดการบริการทางการแพทย์ที่กว้างขวาง และสามารถดูแลประชาชนได้ทันท่วงทีมากขึ้น ขณะเดียวกันภัยคุกคามก็จะมีมากขึ้น เก่งขึ้น ซับซ้อนขึ้น ภัยรูปแบบ และวิธีการใหม่ๆ เกิดขึ้นทุกวัน การเตรียมตัว และป้องกันภัยคุกคามทางไซเบอร์ เป็นเรื่องที่สำคัญที่ทุกคนควรให้ความใส่ใจ เพื่อปกป้องข้อมูลจากการถูกโจมตี โดยเฉพาะยุคที่มี Social Media ซึ่งเผยแพร่ได้อย่างรวดเร็ว และกว้างขวาง
มูลค่าความเสียหายเมื่อถูกโจมตีไซเบอร์
ขณะที่ บูรฉัตร ประเสริฐสำราญ บริษัท ซิสโก้ ซีสเต็มส์ (ประเทศไทย) จำกัด ให้ข้อมูลว่า กลุ่ม Healthcare เป็นหน่วยงานที่เมื่อถูกโจมตีทางไซเบอร์แล้ว จะมีค่าความเสียหายมากที่สุด โดยเมื่อถูกโจมตี 1 ครั้ง ค่าความเสียหายจะอยู่ที่ 300-400 ล้านบาท จากการที่มีข้อมูลหลุดออกไปทั้งข้อมูลส่วนบุคคล ข้อมูลทางการแพทย์ ประวัติการรักษา อย่างไรก็ตาม ค่าความเสียหายจากการโจมตี Healthcare 1 ครั้งเพิ่มขึ้น จากปี 2020 อยู่ที่ 7 ล้านดอลลาร์สหรัฐ เป็น 9 ล้านดอลลาร์สหรัฐในปี 2021 จะเห็นว่าเพิ่มขึ้น 20-30% และคาดว่าในปี 2022 จะเกิน 10 ล้านดอลลาร์สหรัฐ
การที่กลุ่ม Healthcare เป็นความเสี่ยงที่ถูกโจมตีเป็นอันดับ 1 เนื่องจาก
1 ข้อมูลคนไข้มีมูลค่ามาก ข้อมูลบุคคลมีจำนวนมากในรพ.
2 บุคลากร และอุปกรณ์ทางการแพทย์มีจำนวนมาก คุ้มค่าต่อการโจมตี
3 อุปกรณ์หรือเทคโนโลยีที่หน่วยงาน หรือรพ.มีนั้นอาจไม่อัปเดต หรือมีไม่มากพอในการรับมือการถูกโจมตี
4 อื่นๆ อีกมากมาย เช่น 2 ปีที่ผ่านมา เจอโควิด-19หนัก หน่วยงานทำงานหนักมากสุดคือ หน่วยงานทางการแพทย์ เมื่อทำงานหนักอาจละเลยเรื่อง cyber security
6 ประเภทภัยคุกคามที่เผชิญ
ภัยคุกคาม 6 ประเภท ที่มักเกิดขึ้นในหน่วยงานทางการแพทย์และสาธารณสุข ประกอบด้วย
1 Phishing การมีข้อมูลอีเมล มาหลอกลวงว่ามาจากทางโรงพยาบาล จากแพทย์ หรือปัจจุบันมีในรูปแบบส่งSMS ให้กดลิงก์ หรือคอลเซ็นเตอร์ นอกจากนี้ การใช้ฟรีแชตในโซเชียลมีเดียเป็นสิ่งที่ต้องระวัง ไม่ควรนำมาใช้ในงานกลุ่ม healthcare เพราะแอปพลิเคชันเหล่านี้ ส่งข้อมูลเร็ว และตรวจสอบหรือป้องกันข้อมูลยาก หากจะใช้ควรเป็นแชตภายในโรงพยาบาล ที่สามารถควบคุมการส่งไฟล์ภายในองค์กรเท่านั้น ไม่ให้ไฟล์ข้อมูลออกจากโรงพยาบาล
2 Malware หน่วยงานหรือโรงพยาบาล จะใช้คอมพิวเตอร์พีซี โน้ตบุ๊กโดยใช้งานเป็นเครือข่ายทั้งหมดขององค์กร หากเกิดมัลแวร์ขึ้นมาย่อมแพร่กระจายได้ จึงจำเป็นต้องมีระบบป้องกันมัลแวร์ต่างๆ สามารถรู้แหล่งที่มาได้เพื่อลบหรือสกัดได้ก่อนแพร่กระจาย
3 Ransomware โดนล็อกเครื่องอุปกรณ์ที่ใช้ หรือไฟล์ที่ใช้งาน การมีระบบป้องกันมัลแวร์อย่างเดียวอาจไม่เพียงพอ สิ่งสำคัญต้องป้องกันตั้งแต่เริ่มต้น ตั้งแต่ยังไม่เข้ามาในตัวเครื่องอุปกรณ์ที่ใช้ โดยจะมีระบบในการบล็อกลิงก์ที่ไม่ดีแม้จะเผลอไปกดลิงก์
4 Patient Data Theft การขโมยข้อมูลส่วนบุคคล ประวัติคนไข้ อาจจะจากเทคนิค Ransomware หรือคนในองค์กรเอง
5 Insider Threat ภัยจากคนภายในขององค์กร จะต้องจัดระบบให้แต่ละคนสามารถเข้าดูข้อมูลได้ในระดับไหน เช่น ดูได้เฉพาะข้อมูลหน่วยอายุรกรรมเท่านั้น เป็นต้น เพื่อป้องกันการเข้าถึงข้อมูลเพื่อประสงค์ร้าย โดยมีระบบ Zero Trust เพื่อตรวจสอบหรือยืนยันตัวตนบุคคลที่มีสิทธิเข้าถึงข้อมูลได้ก่อน เพื่อให้ทราบว่าบุคคลที่เข้าใช้ถูกต้องหรือไม่ มีสิทธิเข้าใช้ข้อมูลจริงหรือไม่ รวมถึงแอปพลิเคชันที่ใช้ปลอดภัยแค่ไหน
6 Hacked IOT Devices หรือการแฮกซ์ข้อมูลอุปกรณ์ที่ไม่อัปเดต ซึ่งรพ.ควรมีการทำข้อมูล Zoning และProfiling ให้ถูกต้อง และเหมาะสม เช่น อุปกรณ์ที่เป็น IOT ต้องอยู่โซนเดียวกัน และให้สิทธิการใช้งานไม่มากจนเกินไป
“การโจมตีทางไซเบอร์เกิดขึ้นเสมอ และไม่มีวันที่จะลดลง จึงต้องพร้อมอยู่เสมอในการที่จะทำให้หน่วยงานปลอดภัยมากขึ้นเอง”บูรฉัตร กล่าว
แหล่งข้อมูล